【分享】某锁/某神/某狗的计算机名认证绕过

admin
admin
admin
138883
文章
114
评论
2022年4月23日09:22:51评论152 views字数 2289阅读7分37秒阅读模式
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。
请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。


0x01 前言

某锁/某神/某狗的“远程桌面登录防护”都有多种绕过方式,但在这里为了避免与第3章有过多重复内容,所以每篇都只写了一种绕过姿势,关于更多WAF软件的计算机名和IP认证的绕过方式可参考第3章。


0x02 某锁计算机名认证绕过

症状说明:

由于IP限制,此次登录失败。

【分享】某锁/某神/某狗的计算机名认证绕过


由于计算机名限制,此次登录失败。

【分享】某锁/某神/某狗的计算机名认证绕过


问题原因:

因为目标主机上安装的有某锁,并启用了远程桌面登录防护的计算机名、IP认证方式,所以在进行3389远程桌面连接时会出现上图报错提示。

【分享】某锁/某神/某狗的计算机名认证绕过


解决方案:

利用某锁登录日志文件绕过“登录防护”,这个日志文件会记录远程登录IP、时间、用户和计算机名等信息,但在每次重启系统后都会初始化日志文件,重新记录远程登录信息。

C:ProgramDataboost_interprocess_yunsuoLoginLogQueue
{"eventId":0,"ip":"192.168.1.109","localTimestamp":1532500782,"login":{"loginUser":"Administrator","pcName":"YunSuo"},"operation":"system_login","result":1,"subject":{"process":"C:\Windows\system32\LogonUI.exe","type":"rdp","user":"SYSTEM"}}
【分享】某锁/某神/某狗的计算机名认证绕过


0x03 某神计算机名认证绕过

症状说明:

你的远程桌面服务会话已结束。到远程计算机的连接已丢失,可能是因为网络连接问题,请尝试重新连接到远程计算机。如果问题仍然存在,请联系网络管理员或技术支持。

【分享】某锁/某神/某狗的计算机名认证绕过

你的远程桌面服务会话已结束。你已从此远程计算机注销,网络管理员或另一用户可能结束了你的会话,请尝试再次连接,或联系技术支持以获取帮助。

【分享】某锁/某神/某狗的计算机名认证绕过

问题原因:

因为目标主机安装的有某神的入侵防护系统,并开启了远程登录监控的计算机名认证、IP或域名认证,所以在进行3389远程桌面连接时会出现上图报错提示。

【分享】某锁/某神/某狗的计算机名认证绕过

解决方案:

利用某神日志文件绕过计算机名认证限制,这个日志文件不仅记录了攻击者的攻击行为,也记录了“某神”的正常设置操作,可以得知管理员或“他”人在什么时间段设置了哪些安全选项。

1、tasklist /svc找到hws服务,然后sc qc hws找到“某神”安装路径;2、某神日志路径:C:Huweishen.comHwsSec_26319loghws2018-07-03.log;3、查看hws2018-07-03.log,找到以前登录过这台主机的计算机名称(HuWeiShenServer);
【分享】某锁/某神/某狗的计算机名认证绕过

0x04 某狗计算机名认证绕过

症状说明:

出现了内部错误。

【分享】某锁/某神/某狗的计算机名认证绕过

你的远程桌面服务会话已结束。网络管理员可能已结束了连接。请尝试再次连接,或联系技术支持以获取帮助。

【分享】某锁/某神/某狗的计算机名认证绕过

你的远程桌面服务会话已结束,可能是下列原因之一:管理员已结束了会话。在建立连接时发生错误。发生网络问题。有关解决此问题的帮助,请参阅“帮助和支持”中的“远程桌面”。

【分享】某锁/某神/某狗的计算机名认证绕过

问题原因:

因为目标主机安装了服务器某狗,并启用了登录保护(白名单访问控制)的IP、计算机名或域名认证,所以在进行3389远程桌面连接时会出现上图报错提示。
【分享】某锁/某神/某狗的计算机名认证绕过

解决方案:

利用服务器某狗安装目录下的ProGuardData.ini配置文件绕过计算机名认证限制,将目标主机上的配置文件下载到本地并覆盖至某狗SafeDogGuardCenter目录下。


接着在本地打开某狗查看白名单访问控制规则,然后修改当前计算机名为白名单内容项中的计算机名即可。

%ProgramFilesSafeDogSafeDogServerSafeDogGuardCenterProGuardData.ini%ProgramFiles(x86)%SafeDogSafeDogServerSafeDogGuardCenterProGuardData.ini
【分享】某锁/某神/某狗的计算机名认证绕过


【往期推荐】

【内网渗透】内网信息收集命令汇总

【内网渗透】域内信息收集命令汇总

【超详细 | Python】CS免杀-Shellcode Loader原理(python)

【超详细 | Python】CS免杀-分离+混淆免杀思路

【超详细 | 钟馗之眼】ZoomEye-python命令行的使用

【超详细 | 附EXP】Weblogic CVE-2021-2394 RCE漏洞复现

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现

【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞

【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现

【奇淫巧技】如何成为一个合格的“FOFA”工程师

【超详细】Microsoft Exchange 远程代码执行漏洞复现【CVE-2020-17144】

【超详细】Fastjson1.2.24反序列化漏洞复现

  记一次HW实战笔记 | 艰难的提权爬坑

走过路过的大佬们留个关注再走呗【分享】某锁/某神/某狗的计算机名认证绕过

往期文章有彩蛋哦【分享】某锁/某神/某狗的计算机名认证绕过

【分享】某锁/某神/某狗的计算机名认证绕过

一如既往的学习,一如既往的整理,一如即往的分享【分享】某锁/某神/某狗的计算机名认证绕过

如侵权请私聊公众号删文

推荐关注:

原文始发于微信公众号(渗透Xiao白帽):【分享】某锁/某神/某狗的计算机名认证绕过

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日09:22:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【分享】某锁/某神/某狗的计算机名认证绕过https://cn-sec.com/archives/580984.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息